-
-
[旧帖]
[脚印]我的学习的脚印 2011.6.10日软件调试[进程结构信息,系统进程,模式切换]
0.00雪花
-
发表于:
2011-6-11 09:41
3209
-
[旧帖] [脚印]我的学习的脚印 2011.6.10日软件调试[进程结构信息,系统进程,模式切换]
0.00雪花
声明:
内容都是书中或baidu的,很多在论坛都有出现,只是觉得有阅读和收藏整理以方便自己使用的必要。另外就是方便自己以后回头看看自己曾经走过的坎坷之路,仅此而已。
软件调试第8章windows概述,讲到了windows历史,进程对象的相关结构信息及windbg查看方法。对于模式切换讲到了int 2E和快速系统调用,而对于这个具体的过程需要自己再看看,目前只是从书中得到概念,实际的切换过程却是需要动手。
脚印:
2011.6.10 软件调试
!prcoess 0[显示所有,-1自身] 0[信息的详细程度,0最少]
Kd>!process 0 0
PROCESS 8242b3e0 SessionId: 0 Cid: 0d9c Peb: 7ffda000 ParentCid: 059c
DirBase: 09a40340 ObjectTable: e16c5fb8 HandleCount: 42.
Image: notepad.exe
kd> !handle 0 0 8242b3e0
processor number 0, process 8242b3e0
PROCESS 8242b3e0 SessionId: 0 Cid: 0d9c Peb: 7ffda000 ParentCid: 059c
DirBase: 09a40340 ObjectTable: e16c5fb8 HandleCount: 42.
Image: notepad.exe
Handle table at e1f9b000 with 42 Entries in use
0004: Object: e1000080 GrantedAccess: 000f0003
0008: Object: e157a030 GrantedAccess: 00000003
kd> !object e1000080
Object: e1000080 Type: (827b8ad0) KeyedEvent
ObjectHeader: e1000068 (old version)
HandleCount: 26 PointerCount: 27
Directory Object: e1000600 Name: CritSecOutOfMemoryEvent
nt!_EPROCESS
+0x000 Pcb : _KPROCESS //内核进程块,用来记录任务调度有关的信息
+0x06c ProcessLock : _EX_PUSH_LOCK
+0x070 CreateTime : _LARGE_INTEGER 0x1cc2642`55a83bcc //创建时间
+0x078 ExitTime : _LARGE_INTEGER 0x0 //退出时间
+0x080 RundownProtect : _EX_RUNDOWN_REF
+0x084 UniqueProcessId : 0x00000d9c //PID
……
+0x0b4 SessionProcessLinks : _LIST_ENTRY [ 0xf7ae1014 - 0x8243f6ec ]
+0x0bc DebugPort : (null) //用户态调试端口
+0x0c0 ExceptionPort : 0xe1510918 //异常端口
+0x0c4 ObjectTable : 0xe16c5fb8 _HANDLE_TABLE //对象句柄表
+0x0c8 Token : _EX_FAST_REF //访问令牌
……
+0x11c VadRoot : 0x825f9598 //虚拟地址描述符二叉树的根节点
……
+0x170 Session : 0xf7ae1000 //所属会话对象
+0x174 ImageFileName : [16] "notepad.exe"
+0x184 JobLinks : _LIST_ENTRY [ 0x0 - 0x0 ]
+0x18c LockedPagesList : (null)
+0x190 ThreadListHead : _LIST_ENTRY [ 0x8242bfd4 - 0x8242bfd4 ] //线程列表
……
+0x1a8 DefaultHardErrorProcessing : 1
+0x1ac LastThreadExitStatus : 0
+0x1b0 Peb : 0x7ffda000 _PEB //进程环境块
……
+0x248 ProcessExiting : 0y0 //正在退出标志
+0x248 ProcessDelete : 0y0 //删除标志
+0x248 Wow64SplitPages : 0y0
……
+0x252 SubSystemMinorVersion : 0 ''
+0x253 SubSystemMajorVersion : 0x4 ''
+0x252 SubSystemVersion : 0x400 //环境子系统版本号
+0x254 PriorityClass : 0x2 ''
+0x255 WorkingSetAcquiredUnsafe : 0 ''
+0x258 Cookie : 0x57beca8e
kd> !process 8242b3e0
PROCESS 8242b3e0 SessionId: 0 Cid: 0d9c Peb: 7ffda000 ParentCid: 059c
DirBase: 09a40340 ObjectTable: e16c5fb8 HandleCount: 42.
Image: notepad.exe
VadRoot 825f9598 Vads 65 Clone 0 Private 188. Modified 13. Locked 0.
DeviceMap e1c64a98
Token e1e7a388
ElapsedTime 00:18:07.756
UserTime 00:00:00.046
KernelTime 00:00:00.671
QuotaPoolUsage[PagedPool] 62484
QuotaPoolUsage[NonPagedPool] 2600
Working Set Sizes (now,min,max) (886, 50, 345) (3544KB, 200KB, 1380KB)
PeakWorkingSetSize 892
VirtualSize 31 Mb
PeakVirtualSize 36 Mb
PageFaultCount 939
MemoryPriority BACKGROUND
……
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
